OS從正式版發佈到現在已經經歷了好幾個小版本的更新,主要還是在BUG修復和增強穩定性上。單最近,有安全機構發現了iOS 11中一個新的可被利用的漏洞,容易讓用戶誤入惡意網站,那就是相機。
蘋果在iOS 11中增加了一個新的功能,用相機直接掃描二維碼就能夠直接跳轉應用或者用Safari瀏覽器打開對應的鏈接,這的確讓一些場景變得更加方便。但用戶在打開鏈接之前並不能確認是否安全,甚至容易被誤導。
因為使用相機掃描二維碼之後,如果是個鏈接,就會彈窗提醒跳轉的內容,例如將打開某個鏈接。安全機構infosec嘗試修改了其顯示的目標名,換成一個比較可信任的目標(例如Facebook.com),但鏈接依然不變。
經過測試之後發現的確可行,如上圖的GIF所示,彈窗提示將跳轉“Facebook.com”,但點擊之後依然是原來的地址“infosec.rm-it.de”。有興趣的可以自行測試一下哦~
這種方式很容易被黑客利用,誘導用戶進入惡意網站。據稱去年年底就有人報告了這一BUG,但截至FreeBuf發稿之時這個問題依然存在。
在蘋果官方注意到這個問題之後,希望能夠加入一些鑑別虛假、惡意二維碼的功能,避免更多用戶上當受騙。
分享到:
閱讀更多 豌豆上的主公 的文章
